威胁情报信息分享|俄罗斯支持的Infamous ChiselAndroid恶意软件针对乌克兰军队

澳大利亚、加拿大、新西兰、英国和美国的网络安全和情报机构周四披露了一种针对乌克兰军队使用的Android设备的移动恶意软件的详细信息。

这款恶意软件被称为“Infamous Chisel”，被归因于一个名为Sandworm的俄罗斯国家支持的APT团队，具有“未经授权访问被侵入设备、扫描文件、监视流量和定期窃取敏感信息”的能力。

乌克兰安全服务（SBU）在八月初揭露了恶意软件的一些方面，强调敌人试图渗透乌克兰军事网络和收集有价值的情报的尝试是不成功的。

据说俄罗斯军队在战场上捕获了乌克兰使用的平板电脑，并使用Android Debug Bridge (ADB) 命令行工具，将恶意软件远程传播到其他设备。

Sandworm也被称为FROZENBARENTS、Iron Viking、Seashell Blizzard和Voodoo Bear，指的是俄罗斯总参谋部情报总局(GRU)的特殊技术中心(GTsST)。

自2014年以来一直活跃的这个黑客团队，因其使用诸如Industroyer、BlackEnergy和NotPetya的恶意软件进行一系列破坏性和破坏性的网络活动而最为人所知。

2023年7月，Google旗下的Mandiant表示，GRU的恶意网络行动遵循一套战术和策略手册，这套手册为威胁行为者提供了战术和策略上的优势，使他们能够迅速适应一个“快节奏且竞争激烈的运营环境”，同时最大化他们的速度、规模和强度，而不会被检测到。

Infamous Chisel被描述为一个包含多个组件的集合，旨在启用远程访问和从Android手机中窃取信息。

除了扫描匹配预定义的文件扩展名集的设备信息和文件外，这款恶意软件还包含定期扫描本地网络并提供SSH访问的功能。

“Infamous Chisel还通过配置和执行TOR隐含服务提供远程访问，该服务转发到提供SSH连接的修改过的Dropbear二进制文件。”五眼联盟(FVEY)情报联盟说。

各模块的简要描述如下：

netd - 在设定的时间间隔内从被侵入的设备收集和窃取信息，包括从特定的应用目录和网络浏览器td - 提供TOR服务blob - 配置Tor服务并检查网络连接性（由netd执行）tcpdump - 合法的tcpdump实用程序，没有修改killer - 终止netd进程db - 包含几个工具，用于复制文件并通过TOR隐含服务使用修改版的Dropbear提供设备的安全shell访问NDBR - 与db类似的多调用二进制文件，有两种版本，可以在Arm (ndbr_armv7l) 和Intel (ndbr_i686) CPU架构上运行

设备上的持久性是通过替换负责Android网络配置的合法netd守护进程，使用流氓版本实现的，使其能够作为root用户执行命令。

至于窃取的频率，文件和设备数据的编译每天进行一次，而敏感的军事信息每10分钟被吸取一次。本地区域网络每两天扫描一次。

机构表示：“‘Infamous Chisel’组件的复杂性较低至中等，并且似乎在开发过程中对防御回避或恶意活动的隐瞒没有太多考虑。”

“搜索与军事应用相关的特定文件和目录路径，以及这些数据的外部传输，进一步证实了获得这些网络访问的意图。尽管这些组件缺乏基本的模糊或隐蔽技术来伪装活动，但行为者可能认为这是不必要的，因为许多Android设备没有主机检测系统。”

随着乌克兰国家网络安全协调中心(NCSCC)揭露了另一个由克里姆林宫支持的黑客团队Gamaredon (也称为Aqua Blizzard, Shuckworm或UAC-0010) 窃取机密信息的网络钓鱼努力，这一发展来得正是时候。

政府机构表示，这个威胁行为体自2013年以来一直针对乌克兰，正在加强对军事和政府实体的攻击，目的是收集有关其对俄罗斯部队反攻行动的敏感数据。

NCSCC说：“Gamaredon使用被侵入组织的合法文档来感染受害者。” “Gamaredon使用被侵入组织的合法文档来感染受害者。”

该团队有一个滥用Telegram和Telegraph作为死信箱解析器来检索与其命令和控制(C2)基础设施相关的信息的记录，同时利用一套“全面”的恶意软件工具来实现其战略目标。

这包括GammaDrop、GammaLoad、GammaSteel、LakeFlash和Pterodo，其中最后一个是为间谍和数据窃取而打造的多用途工具。

NCSCC表示：“其在部署各种模块方面的多功能性使其成为一个强大的威胁，能够准确地渗透和妥协目标系统。”

“尽管Gamaredon可能不是针对乌克兰的技术上最先进的威胁团队，但他们的策略表现出了计算出的演变。攻击的增加频率表明他们的作战能力和资源正在扩张。”